(1)

A gazdaság digitalizálása gyorsul. Az információs és kommunikációs technológiák már nem minősülnek külön ágazatnak, hanem a modern, innovatív gazdasági rendszerek és társadalmak alapját képezik. Az elektronikus adatok e rendszerek központi elemei, és elemzést követően vagy szolgáltatásokkal és termékekkel kombinálva jelentős értéket teremthetnek. Ugyanakkor az adatgazdaság és az olyan feltörekvő technológiák gyors fejlődése, mint a mesterséges intelligencia, a dolgok internetével kapcsolatos termékek és szolgáltatások, az autonóm rendszerek, valamint az 5G, új jogi kérdéseket vet fel az adatokhoz való hozzáférés és azok újrafelhasználása, a felelősség, az etika és a szolidaritás tekintetében. Foglalkozni kell a felelősség kérdésével, különösen önszabályozáson alapuló magatartási kódexek és egyéb bevált gyakorlatok alkalmazása során, figyelembe véve az adatkezelés teljes értéklánca mentén emberi interakció nélkül hozott ajánlásokat, döntéseket és az így tett fellépéseket. Az ilyen munka kiterjedhet a felelősség meghatározására szolgáló megfelelő mechanizmusokra, az együttműködő szolgálatok közötti felelősségátruházásra, a biztosításra és az ellenőrzésre is

(2)

Az adatértékláncok alapját az adatokkal végzett különböző tevékenységek képezik: az adatok létrehozása és gyűjtése, az adatok összevont feldolgozása és rendszerezése, az adatkezelés, az adatok elemzése, piaci értékesítése és forgalmazása, az adatok felhasználása és újrafelhasználása. Az adatok kezelésének hatékony és eredményes működése minden adatértékláncban alapvető építőelem. Az adatkezelés hatékony és eredményes működését és az adatgazdaság kialakulását az Unióban azonban az adatok mobilitásával és a belső piaccal kapcsolatos két akadály hátráltatja: a tagállamok hatóságai által előírt adatlokalizációs követelmények és a vevőfogvatartási gyakorlatok a magánszférában.

(3)

Az Európai Unió működéséről szóló szerződésben (EUMSZ) szereplő letelepedés szabadsága és szolgáltatásnyújtás szabadsága az adatkezelési szolgáltatásokra is alkalmazandó. Ugyanakkor az említett szolgáltatások nyújtását az adatok meghatározott területen való elhelyezésére vonatkozó bizonyos nemzeti, regionális vagy helyi követelmények hátráltatják, illetve olykor akadályozzák.

(4)

Az adatkezelési szolgáltatások szabad mozgása és a szolgáltatók letelepedési joga előtt álló ilyen akadályok a tagállamok jogában foglalt arra vonatkozó követelményekből erednek, hogy az adatokat adatkezelés céljából egy adott földrajzi körzetben vagy területen kell elhelyezni. Ezzel egyenértékű hatása van más konkrét követelményeket előíró szabályoknak vagy közigazgatási gyakorlatoknak, amelyek megnehezítik az adatoknak az Unió egy adott földrajzi körzetén vagy területén kívüli kezelését, így például az arra vonatkozó követelmények, hogy egy adott tagállamban tanúsított vagy jóváhagyott technológiai létesítményeket kell használni. A jogszerű és jogszerűtlen adatlokalizációs előírásokkal kapcsolatos jogbizonytalanság tovább korlátozza a piaci szereplők és az állami szektor választási lehetőségeit az adatok kezelésének helyét illetően. Ez a rendelet semmiképpen sem korlátozza a vállalkozások azzal kapcsolatos szabadságát, hogy az adatok tárolásának helyét meghatározó szerződéseket kössenek. Ez a rendelet csupán biztosítani kívánja ezt a szabadságot azzal, hogy egy megállapodás szerinti helyszín az Unión belül bárhol lehessen.

(5)

Az adatok Unión belüli mobilitását ugyanakkor magánjellegű korlátozások is gátolják: az adatkezelési szolgáltatások felhasználóit jogi, szerződéses és műszaki kérdések is hátráltatják vagy megakadályozzák abban, hogy átvigyék adataikat egyik szolgáltatótól a másikhoz, vagy akár visszavigyék őket saját informatikai rendszerükbe, még akkor is, amikor a szolgáltatóval kötött szerződésük lejár.

(6)

Ezen akadályok kombinációja az uniós felhőszolgáltatók közötti verseny hiányához, különböző vevőfogvatartási (vendor lock-in) problémákhoz és az adatmobilitás súlyos hiányához vezetett. Hasonlóképpen, az adatlokalizációs szabályok csorbították a kutatás-fejlesztéssel foglalkozó vállalkozások azon képességét, hogy az innováció érdekében elősegítsék a cégek, egyetemek és egyéb kutatóhelyek közötti együttműködést.

(7)

A jogbiztonság érdekében és az Unión belüli egyenlő versenyfeltételek szükségessége miatt a belső piac működése szempontjából kulcsfontosságú, hogy valamennyi piaci szereplőre egységes szabályozás vonatkozzon. Az eltérő nemzeti jogokból eredő kereskedelmi akadályok és versenytorzulások megszüntetése, valamint a további valószínűsíthető kereskedelmi akadályok és jelentős versenytorzulások kialakulásának megelőzése érdekében egységes, minden tagállamban alkalmazandó szabályok elfogadására van szükség.

(8)

E rendelet nem érinti a természetes személyeknek a személyes adatok kezelése tekintetében történő védelmével, valamint az elektronikus kommunikáció során a magánélet tiszteletben tartásával és a személyes adatok védelmével kapcsolatos jogi keretet, és nem érinti különösen az (EU) 2016/679 európai parlamenti és tanácsi rendeletet (3), valamint az (EU) 2016/680 (4) és a 2002/58/EK európai parlamenti és tanácsi irányelvet (5).

(9)

Az egyre bővülő dolgok internete, a mesterséges intelligencia és a gépi tanulás a nem személyes adatok jelentős forrásainak számítanak, például az automatizált ipari gyártási folyamatokban való alkalmazásuk eredményeképpen. A nem személyes adatok konkrét példái közé tartoznak a nagy adathalmazok elemzéséhez használt összesített és anonimizált adatkészletek, a precíziós gazdálkodással kapcsolatos azon adatok, amelyek segíthetnek a peszticidek és a víz használatának nyomon követésében és optimalizálásában, vagy az ipari gépek karbantartási igényeire vonatkozó adatok. Ha a technológiai fejlődés lehetővé teszi az anonimizált adatok személyes adatokká történő átalakítását, az ilyen adatokat személyes adatoknak kell tekinteni, és ennek megfelelően az (EU) 2016/679 rendelet alkalmazandó.

(10)

Az (EU) 2016/679 rendelet szerint a tagállamok nem korlátozhatják vagy nem tilthatják meg a személyes adatok Unión belüli szabad áramlását a természetes személyeknek a személyes adatok kezelése tekintetében történő védelmével kapcsolatos okokból. E rendelet ugyanezt az elvet rögzíti a nem személyes adatok Unión belüli szabad áramlása tekintetében, kivéve, ha a korlátozást vagy a tiltást közbiztonsági okok indokolják. Az (EU) 2016/679 rendelet és ez a rendelet koherens szabályrendszert biztosít a különböző típusú adatok szabad áramlásának biztosítására. Ezen túlmenően e rendelet nem írja elő a különböző típusú adatok elkülönített tárolásának kötelezettségét.

(11)

A nem személyes adatok Unión belüli szabad áramlása keretének megteremtése és az adatgazdaság kialakításához szükséges alapok létrehozása, valamint az uniós ipar versenyképessége fokozásának céljából egyértelmű, átfogó és kiszámítható jogi keretet kell kialakítani a személyes adatoktól eltérő adatok kezeléséhez a belső piacon. A tagállamok közötti együttműködésről és az önszabályozásról rendelkező, elvvezérlet megközelítésnek biztosítania kell, hogy a keret rugalmas legyen annyira, hogy figyelembe vegye az uniós felhasználók, szolgáltatók és nemzeti hatóságok változó igényeit. A meglévő mechanizmusokkal való átfedések kockázatának elkerülése, és ezáltal mind a tagállamokra, mind a vállalkozásokra háruló magasabb terhek elkerülése érdekében nem kell részletes műszaki szabályokat megállapítani.

(12)

Ez a rendelet nem érinti az adatkezelést, amennyiben azt valamilyen uniós jog hatályán kívül eső tevékenység részeként végzik. Emlékeztetni kell különösen arra, hogy az Európai Unióról szóló szerződés (EUSZ) 4. cikkének megfelelően a nemzetbiztonság az egyes tagállamok kizárólagos felelőssége.

(13)

Az adatok Unión belüli szabad áramlása fontos szerepet fog játszani az adatközpontú növekedés és innováció megvalósításában. A fogyasztókhoz és a vállalkozásokhoz hasonlóan a tagállami közigazgatási szerveknek és közjogi intézményeknek is hasznára válik a választás nagyobb szabadsága az adatközpontú szolgáltatást nyújtók tekintetében, a versenyképesebb árak és az állampolgárok részére való hatékonyabb szolgáltatásnyújtás. Tekintettel arra, hogy a közigazgatási szervek és a közjogi intézmények nagy mennyiségű adatot kezelnek, rendkívül fontos, hogy jó példával járjanak elöl az adatkezelési szolgáltatások igénybevétele során, és tartózkodjanak az adatlokalizációs korlátozások alkalmazásától, amikor adatkezelési szolgáltatásokat vesznek igénybe. Ezért a közigazgatási szerveknek és a közjogi intézményeknek e rendelet hatálya alá kell tartozniuk. E tekintetben a nem személyes adatok szabad áramlásának e rendelet által biztosított elvét az általános és következetes közigazgatási gyakorlatokra és a 2014/24/EU európai parlamenti és tanácsi irányelv (6) sérelme nélkül a közbeszerzés területén előírt egyéb adatlokalizációs követelményekre is alkalmazni kell.

(14)

Ahogy a 2014/24/EU irányelv esetében is, ez a rendelet nem érinti a tagállamok belső szervezetére vonatkozó azon törvényeket, rendeleteket és közigazgatási rendelkezéseket, amelyek meghatározzák a közigazgatási szervek és a közjogi intézmények adatkezeléssel kapcsolatos hatáskörét és felelősségi körét a magánfelek szerződéses díjazása nélkül, továbbá nem érinti a tagállamok azon törvényeit, rendeleteit és közigazgatási rendelkezéseit, amelyek e hatáskörök és felelősségi körök végrehajtását szabályozzák. Bár a közigazgatási szerveket és a közjogi intézményeket arra ösztönzik, hogy vegyék figyelembe a külső szolgáltatóknak történő kiszervezés gazdasági és egyéb előnyeit, jogos indokok szólhatnak a szolgáltatások saját nyújtása vagy visszaszervezése mellett. Következésképpen e rendelet egyetlen rendelkezése sem kötelezi a tagállamokat arra, hogy külső felet bízzanak meg olyan szolgáltatások nyújtásával, amelyeket maguk kívánnak nyújtani vagy a közbeszerzési szerződéstől eltérő módon kívánnak megszervezni.

(15)

E rendeletet olyan természetes vagy jogi személyekre kell alkalmazni, akik vagy amelyek az Unióban tartózkodó vagy letelepedett felhasználók számára nyújtanak adatkezelési szolgáltatásokat, ideértve azon szolgáltatókat is, akik vagy amelyek az Unióban való letelepedés nélkül nyújtanak adatkezelési szolgáltatásokat az Unióban. E rendelet ezért nem alkalmazandó az Unión kívüli adatkezelési szolgáltatásokra és az ilyen adatokra vonatkozó adatlokalizációs követelményekre.

(16)

E rendelet nem állapít meg a kereskedelmi ügyekben alkalmazandó jog meghatározására vonatkozó szabályokat, és ezért nem sérti az 593/2008/EK európai parlamenti és tanácsi rendeletet (7). Különösen, amennyiben a szerződésre alkalmazandó jogot nem az említett rendeletnek megfelelően választották ki, a szolgáltatásnyújtásra vonatkozó szerződésre főszabály szerint azon ország joga irányadó, ahol a szolgáltató szokásos tartózkodási helye található.

(17)

E rendeletet kell alkalmazni a legszélesebb értelemben vett adatkezelésre, amely valamennyi típusú informatikai rendszer használatát magában foglalja függetlenül attól, hogy azok a felhasználó helyiségében vagy területén találhatók-e, vagy kiszervezték-e azokat egy szolgáltatóhoz. E rendelet hatálya kiterjed a különböző intenzitási szintű adatkezelésre, az adattárolástól („Infrastructure-as-a-Service” [IaaS]) az adatok platformokon („Platform-as-a-Service” [PaaS]) vagy alkalmazásokban („Software-as-a-Service” [SaaS]) történő kezeléséig.

(18)

Az adatlokalizációs előírások egyértelműen gátolják az adatkezelési szolgáltatások szabad nyújtását az Unióban és a belső piacon. Mint ilyeneket, el kell őket törölni, kivéve, amikor az adatlokalizációs az uniós jogszabályok szerint, különösen az EUMSZ 52. cikke értelmében közbiztonsági okokból indokolt, és megfelel az EUSZ 5. cikkében foglalt arányosság elvének. Annak érdekében, hogy megvalósulhasson a nem személyes adatok határokon átnyúló szabad áramlásának elve, hogy biztosítható legyen a meglévő adatlokalizációs előírások gyors eltörlése, és hogy üzemeltetési okokból lehetőség legyen az adatkezelési szolgáltatások Unión belüli, több helyszínen történő nyújtására, valamint mivel e rendelet szabályozási ellenőrzés céljából az adatok rendelkezésre állását biztosító intézkedésekről rendelkezik, a tagállamok az adatlokalizációs követelményeket csak a közbiztonsággal indokolhatják.

(19)

A „közbiztonság” fogalma az EUMSZ 52. cikke értelmében és a Bíróság értelmezése szerint a tagállamok külső és belső biztonságára egyaránt kiterjed, ahogyan a közvédelem kérdéseire is, különösen a bűncselekmények kivizsgálásának, felderítésének és büntetőeljárás alá vonásának elősegítése érdekében. Valamely alapvető társadalmi érdeket érintő, olyan tényleges és kellően súlyos fenyegetés fennállását feltételezi, mint például az intézmények és alapvető közszolgáltatások működésének vagy a lakosság életének veszélyeztetése, továbbá a külkapcsolatoknak vagy a népek békés együttélésének súlyos megzavarása vagy a katonai érdekeket fenyegető kockázat. Az arányosság elvével összhangban a közbiztonsági okokból indokolt adatlokalizációs követelményeknek alkalmasaknak kell lenniük a kitűzött cél elérésére, és nem léphetik túl az e cél eléréséhez szükséges mértéket.

(20)

Annak érdekében, hogy biztosítsák a nem személyes adatok határokon átnyúló szabad áramlása elvének hatékony alkalmazását, valamint hogy megelőzzék a belső piac zavartalan működését gátló új akadályok kialakulását, a tagállamoknak azonnal közölniük kell a Bizottsággal minden olyan jogiaktus-tervezetet, amely új adatlokalizációs követelményt vezet be, vagy egy meglévő adatlokalizációs követelményt módosít. Ezeket a jogiaktus-tervezeteket az (EU) 2015/1535 európai parlamenti és tanácsi irányelvnek (8) megfelelően kell benyújtani és értékelni.

(21)

Ezenkívül a meglévő potenciális akadályok megszüntetése érdekében a tagállamoknak e rendelet alkalmazási időpontjától számított 24 hónapos átmeneti időszak során felül kell vizsgálniuk azokat a meglévő, általános jellegű törvényeket, rendeleteket vagy közigazgatási rendelkezéseket, amelyek adatlokalizációs követelményeket írnak elő, valamint közölniük kell a Bizottsággal bármely olyan adatlokalizációs követelményt, amelyet e rendelettel összeegyeztethetőnek tartanak, annak indokolásával együtt. Ennek lehetővé kell, tennie a Bizottság számára bármely megmaradó adatlokalizációs követelmény megfelelőségének vizsgálatát. A Bizottságot adott esetben fel kell hatalmazni arra, hogy észrevételeket fogalmazzon meg az adott tagállam számára. Az ilyen észrevételek ajánlást is tartalmazhatnak az adatlokalizációs követelmény módosítására vagy hatályon kívül helyezésére.

(22)

A meglévő adatlokalizációs követelmények és a jogiaktus-tervezetek Bizottság részére történő közlésére vonatkozó, e rendeletben megállapított kötelezettségeket kell alkalmazni a szabályozási adatlokalizációs követelményekre és az általános jellegű jogiaktus-tervezetekre, viszont nem kell őket alkalmazni a konkrét természetes vagy jogi személyekre irányuló határozatokra.

(23)

Annak érdekében, hogy biztosítsák a tagállamok általános jellegű törvényeiben, rendeleteiben és közigazgatási rendelkezéseiben előírt adatlokalizációs követelmények átláthatóságát az olyan természetes és jogi személyek számára, mint például az adatkezelési szolgáltatások nyújtói és felhasználói, a tagállamoknak az ilyen követelményekre vonatkozó információkat egy nemzeti egységes online információs ponton kell közzétenniük és rendszeresen naprakésszé tenniük. Másik megoldásként, a tagállamoknak az ilyen követelményekre vonatkozó naprakész információkat egy másik uniós jogi aktus értelmében létrehozott központi információs ponton kell rendelkezésre bocsátaniuk. A tagállamoknak rendszeresen frissíteniük kell ezeket az információkat. A természetes és jogi személyeknek az Unió-szerte fennálló adatlokalizációs követelményekről való megfelelő tájékoztatása érdekében a tagállamoknak értesíteniük kell a Bizottságot az ilyen nemzeti egységes online pontok címéről. A Bizottságnak ezen információkat közzé kell tennie a saját honlapján a tagállamokban érvényben lévő valamennyi adatlokalizációs követelmény rendszeresen naprakésszé tett, összesített jegyzékével együtt, beleértve ezen követelményekre vonatkozó, összefoglaló jellegű tájékoztatást is.

(24)

Az adatlokalizálási követelmények gyakran az adatok határokon átnyúló kezelésébe vetett bizalom hiányából erednek, amely abból a feltételezésből fakad, hogy így az adatok nem állnak majd a tagállamok illetékes hatóságainak rendelkezésére, például a szabályozási vagy felügyeleti ellenőrzések céljából folytatott vizsgálatokhoz és auditokhoz. A bizalom ilyen hiányát nem lehet kizárólag az olyan szerződéses feltételek semmisnek nyilvánításával orvosolni, amelyek tiltják az illetékes hatóságok számára az adatokhoz való, hivatalos feladataik ellátása céljából történő jogszerű hozzáférést. Ezért a rendeletnek egyértelműen ki kell mondania, hogy nem sérti az illetékes hatóságok azon hatáskörét, hogy az uniós vagy nemzeti jognak megfelelően adatokhoz való hozzáférést kérjenek és kapjanak, valamint hogy az illetékes hatóságok adatokhoz való hozzáférése nem utasítható el azon az alapon, hogy az adatok kezelése egy másik tagállamban történik. Az illetékes hatóságok működési követelményeket írhatnak elő az adatokhoz való hozzáférés támogatása érdekében, például megkövetelhetik, hogy a rendszerleírásokat az érintett tagállamban kell tartani.

(25)

Azon természetes vagy jogi személyek, akik kötelesek adatokat szolgáltatni az illetékes hatóságok részére, úgy felelhetnek meg az ilyen kötelezettségnek, hogy valós és időben történő elektronikus hozzáférést adnak és biztosítanak az adatokhoz az illetékes hatóságok számára, függetlenül attól, hogy az adatok kezelése melyik tagállamban történik. Az ilyen hozzáférés a hozzáférés biztosítására kötelezett természetes vagy jogi személy és a szolgáltató közötti szerződésben szereplő konkrét feltételek útján biztosítható.

(26)

Amennyiben az adatok szolgáltatására kötelezett természetes vagy jogi személy nem teljesíti e kötelezettséget, az illetékes hatóságnak lehetősége kell, hogy legyen segítséget kérni más tagállamok illetékes hatóságaitól. Ilyen esetekben az illetékes hatóságoknak az uniós jog vagy nemzetközi megállapodások szerinti konkrét együttműködési eszközöket kell alkalmazniuk az adott ügy tárgyától függően, például a rendőrségi együttműködés, a büntető vagy polgári igazságszolgáltatás, illetve az igazgatási ügyek terén a 2006/960/IB tanácsi kerethatározatot (9), a 2014/41/EU európai parlamenti és a tanácsi irányelvet (10), az Európa Tanács számítástechnikai bűnözésről szóló egyezményét (11), az 1206/2001/EK tanácsi rendeletet (12), a 2006/112/EK tanácsi irányelvet (13), valamint a 904/2010/EU tanácsi rendeletet (14). Ilyen konkrét együttműködési mechanizmusok hiányában az illetékes hatóságoknak együtt kell működniük egymással azzal a céllal, hogy a kijelölt egységes kapcsolattartó pontokon keresztül hozzáférést biztosítsanak a kért adatokhoz.

(27)

Amennyiben egy segítségnyújtás iránti megkeresés következtében hozzáférés szükséges egy természetes vagy jogi személy helyiségeihez és területeihez, ideértve bármely adatkezelésre szolgáló berendezéshez és eszközhöz való hozzáférést, az ilyen hozzáférésnek összhangban kell állnia az uniós joggal vagy a nemzeti eljárási joggal, ideértve bármely előzetes bírói engedély megszerzésének követelményét is.

(28)

E rendelet nem teheti lehetővé a felhasználók számára, hogy megpróbálják megkerülni a nemzeti jog alkalmazását. Ezért rendelkeznie kell arról, hogy a tagállamok hatékony, arányos és visszatartó erejű szankciókat vessenek ki azokra a felhasználókra, amelyek megakadályozzák, hogy az illetékes hatóságok hozzáférjenek az uniós és nemzeti jog szerinti hivatalos feladataik ellátásához szükséges adataikhoz. Sürgős esetekben, amikor egy felhasználó visszaél a jogával, a tagállamok számára lehetővé kell tenni, hogy szigorúan arányos ideiglenes intézkedéseket írjanak elő. Bármely olyan ideiglenes intézkedés, amely az adatoknak a relokalizációt követő 180 napnál hosszabb relokalizációját követeli meg, jelentős ideig eltérne az adatok szabad áramlásának elvétől, és ezért azt az uniós joggal való összeegyeztethetősége vizsgálata céljából közölni kell a Bizottsággal.

(29)

Az akadálymentes adathordozhatóság alapvető tényezője a felhasználók szabad választásának és az adatkezelési szolgáltatások piacán kialakuló tényleges versenynek. A határokon átnyúló adathordozhatóság valós vagy vélt nehézségei aláássák a foglalkozásszerű felhasználók bizalmát a határokon átnyúló ajánlatok elfogadása során, és ezáltal gyengítik a belső piacba vetett bizalmukat is. Jóllehet az egyéni fogyasztók élvezik a jelenlegi uniós jog előnyeit, e jog nem segíti elő a szolgáltatók közötti váltás lehetőségét azon felhasználók számára, akik üzleti vagy szakmai tevékenységük folytatása során járnak el. Az Unió-szerte egységes műszaki követelmények – függetlenül attól, hogy műszaki harmonizációra, kölcsönös elismerésre vagy önkéntes harmonizációra vonatkoznak-e – hozzájárulnak az adatkezelési szolgáltatások versenyképes belső piacának kialakításához is.

(30)

A verseny által jellemzett környezet előnyeinek teljes mértékű kiaknázása érdekében a foglalkozásszerű felhasználók számára lehetővé kell tenni, hogy tájékoztatáson alapuló döntéseket hozhassanak és könnyen összehasonlíthassák a belső piacon kínált különböző adatkezelési szolgáltatások egyedi összetevőit, ideértve a szerződés megszűnése esetén az adathordozhatóságra vonatkozó szerződéses feltételeket is. A piac innovációs potenciáljához való igazodás, valamint az adatkezelési szolgáltatások foglalkozásszerű felhasználói és szolgáltatói tapasztalatának és szakértelmének a figyelembevétele érdekében, a piaci szereplőknek meg kell határozniuk az adathordozhatóságra vonatkozó részletes információkat és működési követelményeket olyan önszabályozás útján, amelyet a Bizottság akár szerződésifeltétel-mintákat is magukban foglaló uniós magatartási kódexek formájában ösztönöz, elősegít és nyomon követ.

(31)

A hatékonyság, valamint a szolgáltatóváltás és az adathordozás megkönnyítése érdekében az ilyen magatartási kódexeknek átfogónak kell lenniük, és legalább néhány olyan kulcsfontosságú szempontot le kell fedniük, amelyek fontosak az adathordozás folyamata során, például az adatokról készült biztonsági másolatokhoz használt folyamatokat és a biztonsági másolatok helyét, a rendelkezésre álló adatformátumokat és adathordozókat, a szükséges IT-konfigurációt és a minimális hálózati sávszélességet, az adathordozási folyamat megkezdése előtt szükséges időt és azt az időtartamot, amely alatt az adatok hordozhatóak maradnak, valamint azokat a garanciákat, amelyek a szolgáltató csődje esetén biztosítják az adatokhoz való hozzáférést. A magatartási kódexeknek ezenkívül egyértelművé kell tenniük, hogy a vevőfogvatartás nem elfogadható üzleti gyakorlat, a bizalmat növelő technológiákról kell rendelkezniük, és az említett kódexeket rendszeresen naprakésszé kell tenni, hogy lépést tartsanak a technológiai fejlődéssel. A Bizottságnak gondoskodnia kell arról, hogy minden érintett érdekelt féllel, közöttük a kis- és középvállalkozások (kkv-k) szövetségeivel és az induló innovatív vállalkozásokkal, a felhasználókkal és a felhőszolgáltatókkal is konzultációra kerüljön sor a folyamat során. A Bizottságnak értékelnie kell az ilyen magatartási kódexek kidolgozását és végrehajtásuk hatékonyságát.

(32)

Amennyiben az egyik tagállam illetékes hatósága egy másik tagállam segítségét kéri annak érdekében, hogy e rendelet alapján adatokhoz hozzáférést kapjon, akkor valamely kijelölt egységes kapcsolattartó ponton keresztül olyan megfelelően indokolt kérelmet kell benyújtania a megkeresett tagállam kijelölt egységes kapcsolattartó pontjához, amelynek írásban tartalmaznia kell, hogy milyen indokok és jogalap alapján kíván hozzáférni az adatokhoz. A segítségkérés céljából megkeresett tagállam által kijelölt egységes kapcsolattartó pontnak meg kell könnyítenie a kérelem továbbítását a megkeresett tagállam illetékes hatóságának. A hatékony együttműködés biztosítása érdekében annak a hatóságnak, amelynek továbbították a kérelmet indokolatlan késedelem nélkül segítséget kell nyújtania az adott ügyben, vagy tájékoztatást kell nyújtania arról, hogy milyen nehézségeket tapasztalt az ilyen kérés teljesítése során, vagy milyen indokok alapján tagadja meg azt.

(33)

A határokon átnyúló adatkezelési megoldásokba vetett bizalom erősítése nyomán a piaci szereplők és a közszféra várhatóan kevésbé lesz hajlamos arra, hogy adatlokalizációt alkalmazzon az adatbiztonság biztosítása érdekében. Ez továbbá nagyobb jogbiztonságot fog nyújtani a vállalkozásoknak a biztonsági követelményeknek való megfelelés tekintetében, amikor adatkezelési tevékenységeiket többek között más tagállamokban működő szolgáltatóknak szervezik ki.

(34)

Az adatok más tagállamban végzett kezelésére vonatkozóan is alkalmazni kell az adatkezelési tevékenységhez kapcsolódóan támasztott bármely olyan biztonsági követelményt, amelyet az érintett adatokat tulajdonló természetes vagy jogi személy tartózkodási helye vagy letelepedési helye szerinti tagállamban az uniós vagy a nemzeti jog alapján indokoltan és arányosan, az uniós jognak megfelelően alkalmaznak. Ezeknek a természetes vagy jogi személyeknek képeseknek kell lenniük az ilyen követelmények saját maguk általi vagy a szolgáltatókkal kötött szerződéses rendelkezések révén történő teljesítésére.

(35)

A nemzeti szinten meghatározott biztonsági követelményeknek szükségeseknek kell lenniük és arányban kell állniuk az adatkezelés biztonságát azon nemzeti jog hatálya alá tartozó területen fenyegető kockázatok mértékével, amely az adott követelményeket meghatározza.

(36)

Az (EU) 2016/1148 európai parlamenti és tanácsi irányelv (15) olyan jogi intézkedésekről rendelkezik, amelyek elősegítik a kiberbiztonság általános szintjének emelkedését az Unióban. Az adatkezelési szolgáltatások az említett irányelv hatálya alá tartozó digitális szolgáltatások közé tartoznak. Az említett irányelv értelmében a tagállamok biztosítják, hogy a digitális szolgáltatók azonosítják és megteszik a megfelelő és arányos műszaki és szervezési intézkedéseket az általuk használt hálózatok és információs rendszerek biztonságát fenyegető kockázatok kezelése érdekében. Az ilyen az intézkedéseknek a felmerülő kockázatnak megfelelő biztonsági szintet kell biztosítaniuk, és figyelembe kell venniük a rendszerek és a létesítmények biztonságát, a biztonsági események kezelését, az üzletmenetfolytonosság-menedzsmentet, a monitoringot, az auditálást és a tesztelést, valamint a nemzetközi szabványoknak való megfelelést. Ezeket az elemeket a Bizottságnak az említett irányelv szerinti végrehajtási jogi aktusokban részletesebben meg kell határoznia.

(37)

A Bizottságnak e rendelet végrehajtásáról jelentést kell benyújtania, különösen annak megállapítása céljából, hogy a technológiai és a piaci feltételek változásai tükrében szükség van-e módosításokra. Az említett jelentésnek értékelnie kell különösen e rendeletet, főként annak a személyes és nem személyes adatokat egyaránt tartalmazó adatkészletekre, valamint a közbiztonsági kivétel végrehajtására vonatkozó alkalmazását. A Bizottságnak e rendelet alkalmazásának megkezdése előtt tájékoztató iránymutatást is közzé kell tennie a személyes és nem személyes adatokat egyaránt tartalmazó adatkészletek kezelésének módjára vonatkozóan annak érdekében, hogy a vállalatok – köztük a kkv-k – jobban megértsék az e rendelet és az (EU) 2016/679 rendelet közötti kölcsönhatást, valamint biztosítsák a mindkét rendeletnek való megfelelést.

(38)

E rendelet tiszteletben tartja a különösen az Európai Unió Alapjogi Chartája által elismert alapvető jogokat és szem előtt tartja az abban elismert elveket, és azt ezen jogokkal és elvekkel – különösen a személyes adatok védelmének jogával, a véleménynyilvánítás és a tájékozódás szabadságával, valamint a vállalkozás szabadságával összhangban kell értelmezni és alkalmazni.

(39)

Mivel e rendelet célját, nevezetesen a személyes adatoktól eltérő adatok Unióban való szabad áramlását, a tagállamok nem tudják kielégítően megvalósítani, az Unió szintjén azonban terjedelme és hatása miatt e cél jobban megvalósítható, az Unió intézkedéseket hozhat az EUSZ 5. cikkében foglalt szubszidiaritás elvének megfelelően. Az említett cikkben foglalt arányosság elvének megfelelően ez a rendelet nem lépi túl az e cél eléréséhez szükséges mértéket,